CSRF脆弱性対策 - monjudoh’s diary
CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか? 肝はこういう事のようです tokenは外部のサイトから知り難い(実質知り得ない)ものでないといけない セッションIDはcookieに格納される document.cookieは自ドメインのものと親ドメインのものしか見れない→外部サイトで動かすJavaScriptからは参照できない セッションIDは『暗号学的に安全な擬似乱数生成系で生成されているはず』(引用) 推測も事実上できない 補足すると、セッションIDを使用したCSRF対
2010-10-07
プログラマに取って重要な能力というか気質として、中二病というのがあるんじゃないかなーとかふと思ったのだった。 なんかちょっとしたことを達成した時に、「おおなんてこったオレすげー!!やばいオレ新世界の神だ!!!」みたいなことを思ったことがある人は結構いると思うわけです。まぁ数年、一年、一ヶ月、時には一日で実はそんなにたいしたことでもなかったことに気付いて、恥ずかしい思いをしたりするわけです。だから自分の過去の日記とか見るのは面白いわけです。 でまぁこの気質って、後で考えると恥ずかしいことだったりするんだけど、しかしこの喜びを味わった瞬間というのはなかなか快感なもんで、プログラマの人だと結構こういう経験がある人は多いんじゃないかと思います。プログラマじゃなくても研究職とかでも結構ありそうですね。 で、こういう気質が無い人って、「あっそう Hello, world! って出たね、あっそうテトリス
masayang's diary
連邦下院 州知事・副知事・司法長官・州務長官・その他州の要職 州上院 州下院 上記の選挙と同時に、州や自治体の条例に関する可否も投票する。カリフォルニアの場合以下の法案が挙がっている。 Prop 2 州予算安定化に関する法案 →州税の半分を債務返済に当てることを義務付ける法案。 Prop45 医療保険業者の料金改定に関する法案 →医療保険掛け金等の料金変更は事前に州による承認が必要とする法案。 Prop46 医師に対する薬物検査義務付け・医療過誤による賠償金上限引き上げ・濫用が懸念される薬物のデータベース化 →合わせ技法案なのでややこしい (1) 医療過誤に対する賠償金を現状の25万ドルから110万ドルに引き上げ、さらにインフレ調整を加える (2) 痛み止め等、濫用の可能性がある薬物の利用状況を州レベルでデータベース化し、処方箋を発行する前に医療保険会社がチェックすることを義務付ける (3
GAEUnit試してみた - たごもりすメモ
GAE Python環境でテストどうしよう、という話でGAEUnitを試してみた。簡単に方法と特徴をまとめておく。 使いかた gaeunit.pyをダウンロードして、他のコントローラと同じ場所に置く app.yamlに設定を追記する 内容はGAEUnitのページの先頭に書いてあるまんま HTTPでアクセスできるようにする dev環境ならdev_appserver.pyを起動する production環境ならappcfg.py updateする ブラウザで /test を開く ブラウザでページを開くと作成済みのテストが全部実行される。実行対象はgaeunit.py内に書かれている _LOCAL_TEST_DIR で指定するようだ。(デフォルトは /test)。テストのうち、どれを実行するとか選ぶような悠長なことはない。すべて実行される。 特徴 作りとしては各テストごとに対応するHTTPリクエ
はてなブログ | 無料ブログを作成しよう
南関東の「いろんなところから富士山が見える」状況に驚きつづけている 大阪から東京に引っ越して30年以上経つが、じわじわと蓄積されてきた驚きがついに閾値を超えたので筆を執った次第である。正確には「ポメラ DM250を起動してmenuキーを押して新規作成を選んだ」のだが、ポメラを持っていなかったら、さらに驚きが蓄積されていないと…
Datastore に泣いたアナタに捧ぐ(中編①) - Google App Engine - 暗号、数学、時々プログラミング
Google App Engine | 05:04 | 1つのエントリにどのくらいの分量を詰め込むか?を考えるのは結構難しい。勿論、仕事の片手間でやっている作業なので1回で全てを片付けるのは無理なのだが、そもそも記事として読んでもらうのに適切な長さというものがありそう。あんまり長いと「あとで読む」扱いになって後はそのまま、、なんてコトになりがちなんじゃないだろうか。。。せっかくGoogle App Engine って面白いオモチャに興味を持ってくれた人がいるのに、それは少し残念。もちろん、何かを学ぶ時に出来る限り楽しくするよう心がける事は出来ても、ラクにすることは無理な話なんだろうと思う。継続する為に自分のペースで好きに区切りをつけるのは受け手の自己責任って言っても良いのかも知れない。でも、せっかく起こった「ヤル気」を持続させる為に、自分に何か出来ないんだろうか?と考えずにはいられない。(
2008-04-17 - 暗号、数学、時々プログラミング
Google App Engine | 15:36 | トランザクション 引き続いてトランザクションについてチェックしていくぞ。ちなみに、オリジナルのドキュメントはココだ。App Engine のdatastore ではトランザクションをサポートしてる。コイツは1つ以上の処理をひとまとめにして、その全てが成功するか、或いは全てが失敗する、という結果になるものだ。アプリケーションは1つのトランザクション中で複数の処理を実施するコトが可能になってるぞ。この場合、関数オブジェクトとdb.run_in_transaction()関数を使う事になる。では、いつもの通りこれから説明する流れを先に見てみるとするか。 トランザクションの利用 トランザクションにおいて可能なこと トランザクションの用途準備はいいか? トランザクションの利用 上でも述べたとおり、トランザクションってのはdatastoreの操
エンティティとモデル - Google App Engine - Google Code
Python æ¦è¦ CGI ç°å¢ ãã¼ã¿ã®æ ¼ç´ æ¦è¦ ã¨ã³ãã£ãã£ã¨ã¢ãã« ãã¼ã¿ã®ä½æãåå¾ãåé¤ ãã¼ã¨ã¨ã³ãã£ã㣠ã°ã«ã¼ã ã¯ã¨ãªã¨ã¤ã³ããã¯ã¹ ãã©ã³ã¶ã¯ã·ã§ã³ åã¨ãããã㣠ã¯ã©ã¹ GQL ãªãã¡ã¬ã³ã¹ ãªãã¡ã¬ã³ã¹ Model Expando PolyModel Property Query GqlQuery ãã¼ é¢æ° ä¾å¤ ãµã¼ãã¹ Memcache æ¦è¦ Memcache ã®
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
激情销魂乳妇奶水小说,女人口述被亲下面的感觉,交换:朋友的妻子,日本无码